Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/10/2014
Dyreza evoluciona: noves funcionalitats del troià bancari
El troià bancari Dyreza ha sigut notícia més d’una vegada en els últims mesos, i és perquè des de la seua creació, ha presentat canvis que indiquen que cada vegada és més perillós.
Les últimes variants analitzades utilitzen un certificat SSL propi per a comunicar-se amb el Centre de Comandament i Control (C&C) i recol·lecten cookies, certificats de client i claus privades de les computadores infectades.
Açò últim és possible a causa d’una nova funcionalitat de Dyreza que, tal com reporta Security Week, ha sigut anomenada “browsersnapshot”. A més, este codi maliciós ara pot formar una llista de programes i servicis instal·lats en el sistema infectat, la qual envia al servidor C&C; d’esta manera, l’atacant és capaç de determinar quins vectors pot explotar depenent del que estiga corrent en el sistema.
El canvi, tal vegada és més sorprenent, en el comportament d’esta amenaça, la comunicació amb el C&C, que té lloc a través del protocol SSL en els ports 443 i 4443 amb un certificat propi, dissenyat específicament, la qual cosa busca enganyar els usuaris perquè creguen que la connexió és segura -i executen les seues operacions financeres amb normalitat.
Al juny ens assabentàvem com Dyreza apareixia en escena amb la possibilitat de saltejar el protocol SSL per a simular connexions segures en llocs d’entitats financeres, i demostrava així la finalitat d’obtindre rèdit econòmic dels ciberdelinqüents darrere d’esta amenaça. Un altre indici d’açò vam tindre quan vam saber que tenia com a blanc d’atac el programari d’administració de clients (o CRM, de l’anglés customer relationship management).
També conegut com Dyre, este troià bancari detectat per ESET com Win32/Battdil.A apuntava en els seus inicis cap a usuaris de grans bancs com Bank of America i Citigroup, buscant extraure informació per a robar credencials d’accés.
Funciona de forma semblant a Zeus, la famosa botnet dissenyada per a furtar informació bancària, i és capaç d’incerceptar el tràfic entre la màquina de la víctima i el lloc web de destinació, a través d’una tècnica coneguda com browser hooking. Succeïx que, normalment, la informació enviada a llocs protegits amb SSL és xifrada abans, per a protegir-la contra atacs man-in-the-middle; però amb esta tècnica, Dyreza pot veure les dades ingressades per la víctima en un lloc abans que siguen xifrades.
Davant de casos com estos en què veiem com les amenaces informàtiques evolucionen per tractar d’afectar la major quantitat de víctimes possible, insistim en la importància de comptar amb una solució de seguretat actualitzada que les detecte i bloquege. I, per descomptat, tindre precaució al navegar per Internet i fer transaccions financeres.